La semaine prochaine aura lieu la conférence des utilisateurs VMware, ce n’est pas un événement réservé aux experts, mais bien l’occasion de découvrir de nouvelles solutions, ou d’apprendre des retours d’expériences clients qui seront présentés.

Pour cette journée, plusieurs membres de la communauté feront des retours d’expériences, nos sponsors feront la démonstration de produits liés à l’écosystème VMware, nous aurons aussi quelques têtes d’affiches avec Frank Denneman (Chief Technologist – Cloud Infrastructure chez VMware), Cormac Hogan (Director and Chief Technologist, VMware. Author and Blogger) et Niels Hagoort (Staff Technical Marketing Architect for VMware Cloud).

Dès 8h30 et pour toute la journée, le 6 octobre, retrouvez-nous à l’Étoile Business Center dans le 8e à Paris.

Ne ratez pas cette occasion de rencontrer vos pairs, l’inscription se passe ici -> https://www.vmugticketsemea.eu/france/

Les plus attentifs d’entre vous aurons noté que j’ai récemment fait un billet sur l’utilisation de l’outil certificate-manager en ligne de commande. Mais il s’avère que mon CSR n’avait pas le niveau de sécurité requis et je n’ai pas trouvé l’option pour modifier la taille de la clé.

il y a bien le fichier certool.cfg pour modifier la configuration mais rien ne semble documenter la longueur de la clé. J’aurai simplement pu générer ma demande avec openssl, mais j’avais la ferme intention d’utiliser les produits mis à disposition par VMware.

Je suis donc partie sur l’utilisation de la GUI pour réaliser l’opération car le changement de la taille de la clé y est accessible:

La génération du csr se passe très bien, mais les soucis apparaissent à l’importation:

En effet, l’assistant nous demande de lui fournir la clé privée générée lors de notre demande de csr, sauf qu’à aucun moment, il ne nous indique le chemin en question. Impossible de trouver le chemin dans la documentation officielle VMware.

C’est en parcourant d’autres blogs à la recherche du chemin que je suis tombé sur l’article de Bryan van Eeden : Where is my private key when using the vSphere UI? – vCloud Vision

Il y décrit, avec la même surprise que moi, la demande de la clé privée mal documenté, et indique la commande pour récupérer le précieux :

/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CSR

Copier les informations avec —–BEGIN CERTIFICATE REQUEST—– et —–END CERTIFICATE REQUEST—– dans un fichier et vous pourrez l’utiliser pour l’importation, ou copier les directement dans le menu VMware dans la section Private Key :

Pour la section « Chain of trusted root certificates » copier les informations du certificat de l’autorité de certification ou de la chaine complète qui a signé la demande.

Après redémarrage des services, le certificat devrait correctement en place.

Si comme moi vous avez des appliances ZIA Virtual Service Edges à déployer sur des clusters VMware, vous aurez peut être un paramètre bien particulier à configurer pour éviter de recevoir les paquets réseau en double lorsque vous avez plusieurs interfaces physique sur votre vSwitch mais pas de LCAP pour le teaming.

Cette problématique est décrite dans la kb : Duplicate Multicast or Broadcast Packets are Received by a Virtual Machine When the Interface is Operating in Promiscuous Mode (59235) (vmware.com)

et dans la doc zscaler : Zscaler Help

Pour configurer la valeur

Get-VMHost votrenomESXici | Set-VMHostAdvancedConfiguration -Name "Net.ReversePathFwdCheckPromisc" -Value 1

Pour vérifier la valeur

Get-VMHost votrenomESXici | Get-VMHostAdvancedConfiguration -Name "Net.ReversePathFwdCheckPromisc"

Pour faire la modification sur tout un cluster par exemple

Get-Cluster votrenomCluster | Get-VMHost |Get-VMHostAdvancedConfiguration -Name "Net.ReversePathFwdCheckPromisc"

Après une installation des plus classiques, j’avais besoin de personnaliser les certificats d’un nouveau vCenter.

Après avoir lancé certificate-manager la procédure s’arrêtait sur le message : Certificate Manager tool do not support vCenter HA systems

Je n’utilise pas vCenter HA donc j’étais très surpris du message, mais après une rapide recherche un post sur le forum VMware m’a apporté la solution -> Cert Manager Tool Not Working / VCSA Web UI Not Ac… – VMware Technology Network VMTN

Je n’ai eu qu’a créer le répertoire manquant avec mkdir /var/tmp/vmware et l’opération se poursuit sans erreur.

Suite à la consolidation de plusieurs clusters VMware, nous avons modifié en masse plusieurs dizaines de volumes afin de les présenter en respectant notre nouvelle organisation.

Après cette modification, 2 datastores (un par baie) sont passés inaccessibles, en lieu de place de ceux-ci, je me retrouvais avec un volume étrange de quelques Ko. L’administrateur du stockage m’assurait ne pas me présenter une autre volume.

Après plusieurs heures de recherches infructueuses : APD, hôte qui aurait verrouillé l’ancien volume, VMFS corrompu, mauvaise mapping SAN…

Il s’avère que le persona VMware HPE (VMware host persona 11), est compatible avec VMware vVols sans intervention particulière, mais il se réserve le LUN ID 256 pour faire fonctionner le « Protocol Endpoint » (PE), qui est un LUN technique qui permet de gérer les I/O :

Il faut savoir que sur ce type de baie 3PAR et j’imagine d’autres modèles du même vendeur, il ne faut en aucun cas utiliser le LUN ID 256. Sur d’autres modèles de SAN, compatible vVols il faudra se renseigner sur le LUN ID associé au PE.

Le support HPE a confirmé qu’il n’est pas possible de désactiver ce LUN.

Une fois l’ID de nos volumes en erreur modifié , un simple rescan pour monter les volumes VMFS et tout est rentré dans l’ordre.

Référence HPE : https://h20195.www2.hpe.com/v2/getpdf.aspx/4AA5-6907ENW.pdf

Référence VMware sur vVOls : https://kb.vmware.com/s/article/2113013